Autopsy中文使用教程(用戶版)數據源完整性模塊
總覽
數據源完整性模塊具有兩個目的:
- 如果數據源具有與其關聯的任何哈希(用戶輸入或包含在E01文件中),它將驗證這些哈希
- 如果數據源沒有關聯的哈希,它將計算哈希并將其存儲在數據庫中
運行模塊
如果要驗證哈希,則第一步是為磁盤映像輸入哈希(除非您有E01文件-哈希包含在數據源中)。您可以在“添加數據源”向導中選擇磁盤映像。
您可以輸入要驗證的哈希的任意組合。
接下來,您需要配置攝取模塊。
請注意,這只是啟用一種或兩種行為,而不是選擇運行哪一種(計算與驗證)。這僅取決于數據源是否具有關聯的哈希。取消選中這兩個復選框,但啟用模塊將導致攝取模塊啟動錯誤
查看結果
哈希驗證
驗證時,如果檢查成功,您會看到一條收件箱消息,確認確認。如果打開消息,您將看到存儲的和計算的哈希值。
如果驗證失敗,您將在黃色框中看到一個收件箱消息,并在彈出的警告氣泡中看到相同的消息。
在關閉案例后,收件箱消息將消失,因此該模塊還將添加一個“驗證失敗”工件。
哈希計算
要查看計算的哈希值,請在樹中選擇“數據源”,在結果查看器中選擇數據源,然后打開“文件元數據”選項卡。如果處于“按數據源分組”模式(請參閱“ 查看選項”),請在要檢查的數據源下選擇“數據源文件”。
推薦文章: